Em Portugal, o processo legislativo está a ser acelerado através de um decreto-lei, uma opção justificada pelo governo com a necessidade de cumprir os prazos europeus. A NIS2 expande significativamente a lista de setores considerados “essenciais” e “importantes”, que passarão a estar sujeitos a requisitos de segurança mais rigorosos e a obrigações de notificação de incidentes. A nova abordagem foca-se menos no cumprimento formal de regras e mais na demonstração de uma resiliência operacional efetiva. Uma das inovações mais significativas da proposta portuguesa é a alteração à Lei do Cibercrime, que prevê a isenção de responsabilidade penal para investigadores de segurança que atuem de boa-fé, acedendo a sistemas com o único propósito de identificar e reportar vulnerabilidades às autoridades competentes. Esta medida reconhece a importância da colaboração da comunidade de cibersegurança para a proteção coletiva e representa uma mudança de mentalidade na forma como a segurança digital é abordada a nível nacional.